NANAROQ 株式会社の榎本です。去る 2 月 4 日に東京・日本橋で開催された、「グローバル・海外事業におけるリスクマネジメント戦略フォーラム2016」(主催: リバイバル マネージメント フォーラム)にて登壇し、NANAROQ が AvePoint のツールを使って展開しているコンプライアンス ソリューションについてお話させていただきました。AvePoint のブログで、私の講演内容の一部をご紹介させていただきたいと思います。本セミナーの概要については 前編 をご覧ください。
さて、前回 は情報流出事故といったグローバル企業を取り巻く IT 関連のリスクについて、「IT GRC」 というコンセプトを基軸にしてご説明しました。
また、現在多くの企業が採っている情報セキュリティ対策のトレンドは、SIEM、サンドボックス等の API 対策の新しい領域での対策、いわゆる 「入口出口対策」 が主流となっていることにもふれました。
文書管理の IT GRC と情報セキュリティ対策
私は、「入口出口対策」 の情報セキュリティ対策から、さらにレベルアップすることが、情報漏洩に対するより強固なリスク対策になると考えます。「入口出口対策」 は、まさに名の通り、データの出入りを監視し、制御するものとなります。
また、もう一つのリスクとして目を向けたいのが、情報システム内で生み出される情報です。企業の電子ファイル・コンテンツについては、作成から保存までのプロセスが人任せであり、作成途中の電子ファイル・コンテンツのデータの所在等が把握しきれていないことや、組織・企業内でやりとりされる電子ファイル・コンテンツの制御をカバーできないことがリスクとなるのです。
「コラボレーション促進」「モバイルワーク導入」 などで、組織の情報システム内でやりとりされるファイルの量は加速度的に増加しつつあります。これは同時に、「一部の人間しか見てはいけないファイル」 が、誤って誰でもアクセスできる場所に保存されてしまうリスクの上昇をも招いてしまうということでもあります。
データによると、個人情報の漏洩原因のうち実に 61% が 「社員の過失による漏洩」 であり、外部からのサイバー攻撃 (8%) や社員による意図的な漏洩 (30%) を大きく引き離しています。悪意のない 「うっかりミス」 が、重篤なセキュリティ インシデントを引き起こしてしまうという事実が伺い知れる数字です。
いくら入口・出口をしっかりと管理しても、情報システム内部のデータがしっかりと管理されていないか、もしくは管理されているかどうかを確認する手段がなければ、情報漏洩のリスクを効果的に低減させることはできません。
情報システム内部で増え続けるデータ
さらに、加速度的に増え続けるデータを、アーカイブ・削除などの方法で効果的に管理していかなければ、「必要なコンテンツが埋没する」「同一文書のバージョンが重複してしまい、どれが最新かわからない」 などの混乱を招きます。
「どれを削除してよいかわからない」 ので 「どれも削除できない」 という事態は、いずれ 「ドキュメントが多すぎて何が入っているのかよくわからない」 ライブラリやファイル サーバーを生み出してしまいます。結果として組織の情報システムはごみ箱化し、内容はもちろん、存在そのものが忘れ去られたドキュメントが堆積し、「ダーク データ」 として企業のシステムを占領・圧迫する、という悪循環に陥ってしまうことも多くあります。
このような事態の防止のためには、コンテンツの分類方法や保管領域を明文化して定めた、しっかりとした情報管理ポリシーの導入が欠かせません。しかし、柔軟性に欠けるガチガチのポリシーは、実際にコンテンツを使用するユーザーには不評であることが多いため、「誰も守らなくなり、意味がなくなる」「社内ルールを回避するため、一般向けファイルシェア (クラウド型ストレージサービス) を使用して社内でのファイル共有を実行する」 など、情報漏・ポリシー違反のリスクがかえって高まってしまう事態を招きかねません。
では、このような事態は、どのように打開すればよいのでしょうか?
IT GRC と 「自動化」
AvePoint と NANAROQ は、その答えは 「自動化」 にあると考えています。
例えば、SharePoint などの情報環境にコンテンツをアップロードする時点でコンテンツの内容を読み取り、内容に応じて自動的にタグ付けをしてくれるシステムがあったとしたら、便利ではないでしょうか?
自動化の導入で考えられる利点としては、以下のようなものが挙げられるかと思います。
- 人的ミスの削減: ユーザーや管理者がメタデータの手入力をしたり、自分で適切なライブラリを選択したりする必要がなくなる
- ダーク データの削減: 「作成者」 や 「関連部署」、「機密レベル」 等のメタデータが自動的に認識されることにより、保管期間や適切なアクセス権限などの情報がすべてのドキュメントに付与され、適切に管理される。その結果、所有者や管理者が不明な 「ダーク データ」 が削減できる
- コストの削減: 保管期限やアーカイブ先などの情報も自動付与され、保管期限の過ぎたドキュメントは自動的にアーカイブ・削除されるため、IT 管理者が情報環境を整備する工数が削減できる
- リスクの削減: 個人情報や機密情報の含まれるドキュメントを最も適切な場所・適切な保護を自動的に割り当てできるため、情報流出のリスクが削減できる
- 生産性の向上: コンテンツが自動的に正しい場所に保管されるため、検索してから目当ての情報に到達するまでの速度が向上する
これらすべてを達成するのが、AvePoint が提供する総合的ソリューション AvePoint Compliance Guardian (コンプライアンス ガーディアン) です。
まとめ
「入口出口対策」 も大切であり、対策を強化することは、重要です。同時に、情報管理はやはり 「家の中」、つまり情報が企業のシステムの内部で生み出されることも考えて進める必要があります。
コンテンツの作成量が増え続ける現在の状況にあって、管理者は、コンテンツの状況を把握し、制御することを考え、作成者には、その制御を適用して適切な状態にすることによりセキュアな環境を提供することが、コラボレーションを促進し、ドキュメント・コンテンツの利用を効率的にすることを可能とします。
エンドユーザーにとっては 「難しい操作がいらない」、IT 管理部門にとっては 「煩雑な整備業務がいらない」、そして経営陣には 「コストとリスクの削減」 と、数多くの利点を持つ 「自動化」。それを実現する ツールである、Compliance Guardian は、IT 部門だけではなく、経営層まで取り込んだ包括的なデータ対策が求められる中、有効なソリューションではないでしょうか。